第一篇:限制上网行为 培养学生良好的上网习惯
限制上网行为培养学生良好的上网习惯
在学校这个局域网中,学生是未来社会发展的动力,不论是高中、大学,都已经有了自己的局域网,特别是在大学中,学生的上网行为都很自由、时间很多,需要学校加强对学生的上网行为管理。小草上网行为管理软路由为众多的学校等教育机构提供专业的上网行为管理。
据调查显示我国城市网瘾青少年约占青少年网民的14.1%,约为2404.2万人。其中,特大发达城市,如北京、上海、广州的网瘾青少年比例分别为8.1%、8.7%和8.3%;而边远欠发达城市,如贵阳、银川、南昌的网瘾青少年比例则为31.8%、20.5%和32.9%。
青少年网瘾曾酿数起人间惨剧。如:“16岁网瘾少年13小时殉命”、“一位网瘾孩子母亲发出的呐喊”等。甚至为了治疗网瘾,社会上曾出现“电击治网瘾”、“惩罚性治疗网瘾”等极端性网瘾治疗方法。
为此,教育部要求各地教育行政部门要使校园网的网络处在可监控状态,各地教育行政部门要定期对校园网络进行检查,指导中小学在网络服务器和计算机上安装绿色上网过滤软件,通过技术手段及时屏蔽或删除含有低俗、淫秽、暴力、反动等内容的信息和攻击性言论,做到及时发现、及时处理。
小草上网行为管理软路由可控制对游戏类网页的访问时间和访问次数。可根据需求,灵活控制学生游戏使用时间、使用时长;控制QQ等软件自带的各类小游戏的使用。家长、学校可根据需要灵活控制青少年网游时间,以及游戏种类的选择。
小草上网行为管理软路由可以把学校局域网分段管理,对于学生的上网行为可以分时管理,在上课时间关闭网络,在休息时间开放一定的网络,对于学生的上网行为,有针对性的屏蔽些网站,加强对学生的上网行为教育,培养起健康的上网行为习惯。
第二篇:如何限制办公室上网行为 控制公司员工上网
如何限制办公室上网行为 控制公司员工上网?
作者:大势至 日期:2013.6.30
聚生网管系统是大势至(北京)软件工程有限公司推出的一款局域网上网控制软件,早在2005年就推出了第一代版本,经过近8年的不断研发和实践积累,使得聚生网管已经成为国内网管软件市场首屈一指的品牌,也是国内知名度最高、产品应用最普遍、性价比最高的网管软件品牌,在诸多优势遥遥领先国内同行产品。聚生网管系统核心优势如下:
一、聚生网管是国内最早、最成熟、功能最全面的员工上网管理软件品牌
聚生网管系统是国内最早的控制员工上网的品牌之一,从2005年推出的第一代网管产品,经过8年的不断研发和网络管理实践积累,使得聚生网管系统各项网络管理功能日臻完善,可以为企业提供一站式的局域网网络限制解决方案,帮助企业有效管理公司局域网电脑上网行为。
二、聚生网管系统是国内安装最快捷、上网控制功能最强、最好用的网管软件品牌 在国内诸多网管软件品牌中,聚生网管系统安装部署是安装最便捷的。安装聚生网管软件不需要调整网络结构,不需要单独的电脑或服务器,也不需要调整路由器、交换机或防火墙等网络设备,也不需要在被控制的电脑上安装类似木马的客户端软件,而是只需要在局域网一台电脑安装就可以控制整个局域网电脑上网行为;安装完毕聚生网管系统,启动网络管理就可以扫描局域网所有电脑,不需要手工添加要监控的电脑。同时,聚生网管界面设计极为简单,纯傻瓜界面,各项功能模块一目了然,所有网络控制功能只需要点击鼠标就可以启用,极为易用。聚生网管系统可以有效禁止局域网下载、限制员工炒股、禁止玩电脑游戏、限制电脑QQ聊天、禁止上班网购、限制浏览无关网站、屏蔽视频网站、禁止员工上班看电影、防止ARP攻击、绑定IP和MAC地址、限制网络流量等功能,可以帮助企业实现一站式的局域网限制上网行为。
三、聚生网管系统是国内唯一可以完全禁止局域网迅雷下载、限制迅雷上传、禁止使用迅雷下载的网管系统 目前,在国内诸多P2P下载软件中,迅雷是应用最普遍、同时也是下载速度最快的P2P软件,局域网员工使用迅雷下载可以瞬间耗尽单位的网络资源,导致整个局域网网速很慢、上网速度很慢,严重影响了企业各项网络应用的正常进行。这是因为迅雷融合了所有流行的P2P下载技术、HTTP下载和FTP下载技术,再加上迅雷的资源检索技术先进、资源服务器众多,这使得封堵迅雷下载也变得极为困难,国内其他网络控制软件品牌常常无法有效封堵。而聚生网管研发团队经过对迅雷传输原理的深入分析、综合利用各种网络报文检测和识别技术,已经完全掌握了迅雷传输的各项特征,从而可以完全禁用迅雷下载,同时还可以完全禁止迅雷上传。在启动聚生网管系统,只需要在“P2P下载限制”这里勾选禁止迅雷下载,即可完全阻断局域网迅雷下载,从而避免了迅雷下载抢网速、抢带宽的行为,可以彻底从根源上防止局域网网速被迅雷抢占的情况。因此,是否可以有效屏蔽迅雷下载也是衡量一款网络管理软件是否真正有效的、是否具有领先的网络控制技术的重要标准之一。
四、控制P2P下载软件、限制P2P网络电视、禁止网页视频国内遥遥领先 除了有效禁止迅雷下载之外,聚生网管系统在控制其他P2P软件也遥遥领先国内同类网管软件,例如有效禁止QQ旋风下载、禁止快车下载等等国内数十种最流行的P2P下载软件;同时,聚生网管系统还可以有效禁止P2P网络电视,例如有效禁止PPS影音、禁止PPlive网络电视、限制PPTV等等国内最流行的数十种P2P网络电视;此外,聚生网管系统还可以有效禁止在线视频、屏蔽网页视频等几十个国内最流行的视频网站。总之,聚生网管无论是限制P2P软件的数量,还是有效性等方面都遥遥领先国内同类网管软件,并且也是国内独家可以根据用户的需要随时增加各种P2P软件、网络电视和网页视频的封堵;聚生网管系统也是国内独家开放了系统过滤内核的品牌,允许网管员自行添加各种过滤规则,从而帮助用户实现个性化、自主化网络管理。
五、有效禁止QQ聊天、禁止阿里旺旺登陆,控制聊天软件功能国内最强
聚生网管不仅可以有效屏蔽QQ聊天等国内十几种最流行的聊天软件,并且还可以对聊天软件精细化控制。聚生网管不仅可以检测局域网QQ账号、检测MSN账号、检测阿里旺旺账号,并且还可以设置QQ白名单,只让一部分QQ账号登陆、只允许登陆企业QQ账号、只让特定阿里旺旺账号登陆、只让特定淘宝账号登陆,并且还可以检测局域网淘宝账号。通过对聊天软件账号的精确控制,使得聚生网管可以有效防止员工上班时间聊私人QQ账号、登陆私人阿里旺旺账号或登陆私人淘宝账号,从而防止员工上班做私事、开设网店或上网购物等行为,有效规范了员工使用聊天软件账号的功能。
六、禁止购物网站的数量最多、防止员工上班购物、禁止工作时间网购国内最强
目前,在企业白领上班族中,上班时间网购已经成为司空见惯的现象。员工工作时间网购,一方面也占用大量的工作时间,影响工作效率;另一方面,员工打开购物网站,经常会遭遇钓鱼网站、木马网站等病毒网站,一旦不小心点击了这些网站,极容易会导致电脑中毒,从而造成网络安全隐患,有些病毒还会发动网络攻击、ARP攻击等,从而对局域网安全造成隐患。此外,一些病毒还会窃取员工上网账号、网银账号或邮箱账号等,从而引发各种网络安全隐患。为此,聚生网管系统集成了国内最全的屏蔽购物网站的功能,可以完全禁止员工访问国内所有流行的网购网站,完全阻止员工上班时间网购的行为,规范员工上网行为,提示员工工作效率,保护局域网电脑安全。
七、国内唯一完全突破杀毒软件有效控制局域网电脑网速、限制别人网速、控制其他人网速等
限制局域网网速是聚生网管系统核心功能之一。启动聚生网管系统之后,只要在扫描到的电脑前面勾选,就可以看到局域网所有电脑的上行带宽和下行带宽。然后你可以创建一个限制带宽的策略,并指派给局域网电脑,就可以对电脑的上行网速(上传网速)和下行网速(下载速度)进行实时的控制。同时,聚生网管系统是国内唯一完全可以突破各种防火墙限制局域网网速、控制别人网速、限制其他人网速的系统。此外,聚生网管系统基于深度报文统计技术,限制电脑网速更为精确,确保了用户局域网网速控制的真正有效。
八、国内唯一可以有效监测局域网无线路由器、控制无线路由器下电脑上网行为的品牌 目前,在企业局域网中,由于网络布线或网络限制的原因,员工常常自己配备无线路由器、私自安装无线路由器进行上网,同时也常常是为了使用自带的笔记本、手机或平板电脑上网。这种情况一方面使得这些无线设备的接入,可能会抢占公司局域网网速、造成网络带宽紧张不足的局面;另一方面,员工通过无线路由器上网,也使得网管员无法精确定位和控制员工电脑上网,无法区分手机、平板电脑或员工自己的笔记本电脑,从而增加了网络管理的难度,不利于实施规范的网络监控。因此,聚生网管研发团队经过深入的分析和研究,在聚生网管系统上增加了实时探测局域网无线路由器的功能,并可以隔离无线路由器、禁止无线路由器上网,从而阻止了员工私自安装无线路由器进行上网的行为。目前,聚生网管系统是国内唯一可以有效管理无线路由器上网、防止员工私自接入无线路由器系的系统。
九、监控邮件发送功能最全面,国内唯一可以进行邮件“先审核后发送”功能的网管品牌 聚生网管系统不仅可以有效监控局域网邮件发送情况,实时监控邮件正文内容、实时查看邮件附件内容,并且可以有效监控网页邮件或监控Outlook、Foxmail发送邮件的情况;同时,也可以完全禁止员工登陆非公司的信箱、禁止员工使用门户网站的信箱,而只允许使用公司信箱进行邮件收发。同时,聚生网管系统是国内唯一可以对邮件进行实时审核和发送的功能,也就是员工发送的邮件会实时转发到经理或网管员自己的监控中心,然后经过审核之后,允许发送的邮件才可以发走,而含有敏感关键词或商业机密的邮件则会可以直接阻断,从而可以有效防止员工有意或无意泄露公司商业机密的行为,保护商业机密的安全。
十、国内最强IP和MAC绑定功能,并独家集成了人性化的提醒功能,实现自动化管理 聚生网管系统集成的IP和MAC地址绑定功能是国内同类网管系统里面最简单、最实时和最人性化的。网管员只需要在聚生网管的“安全管理”,这里点击启用“IP和MAC地址绑定”功能,并点击“获取IP和MAC绑定关系”就可以获取到局域网所有电脑的IP和MAC对应关系并进行了有效绑定,当然员工也可以自行添加IP和MAC对应关系。同时,当员工修改了IP地址或MAC地址关系之后,聚生网管系统不仅会实时阻断电脑的公网访问、禁止电脑上网,而且还会进行人性化的提醒,告知用户必须修改回之前的IP地址或MAC地址,否则系统将会禁止其上网。通过这种人性化的提醒,一方面达到了网络管理的目的,规范了局域网IP地址使用情况,另一方面也可以促使员工自动更改回之前的IP地址,从而降低了网管的工作量,实现了人性化、自动化的管理。
十一、最有效防止局域网ARP攻击、防范ARP欺骗、实时监测ARP攻击源主机
当前,局域网ARP攻击的事件屡有发生,ARP攻击会导致局域网掉线、断网现象的发生。很多网管员认为只要在路由器上进行IP和MAC绑定就可以了,但是实际上ARP攻击分为ARP欺骗和ARP劫持两种,一般的路由器只能防止ARP欺骗,而对于ARP劫持行为一般无能为力。而聚生网管系统提供的ARP攻击防护功能,可以有效防止ARP欺骗攻击,同时还可以防止ARP劫持攻击,从而完全防止了局域网因为ARP攻击行为而导致的断网现象,极大地保护了局域网安全。同时,聚生网管系统还可以实时检测局域网ARP攻击源主机,实时记录发动ARP攻击的电脑,便于网管员及时发现中毒电脑,及时采取补救举措,防止危害的进一步扩大。
十一、独家提供了一系列网络安全扩展插件、全力保护局域网安全 聚生网管软件是国内唯一提供了全方位安全管理插件的网管软件品牌,可以有效保护局域网安全。聚生网管远程开关机工具可以让网管实现局域网远程启动电脑、局域网远程关闭电脑、远程重启电脑和远程注销电脑等,极大地便利了网络管理;聚生网管内网安全卫士则可以有效防止外来电脑接入公司局域网,禁止外来电脑访问公司服务器或其他电脑,有效禁止局域网修改IP地址、禁止修改MAC地址、禁止电脑代理上网、检测局域网混杂网卡、防止网络嗅探、禁止网络抓包等;大势至共享文件监控系统,则可以有效监控局域网共享文件,详细记录局域网用户对共享文件的打开、读取、修改、删除、剪切、重命名等操作,并且还可以实时保护重要共享文件,防止局域网用户不小心或故意删除共享文件的行为等等。
总之,聚生网管系统以各项领先的品牌优势、产品优势、技术优势、功能优势和设计优势等等,可以帮助企业局域网实现上网行为管理和网络安全控制一站式、全方位的网络管理解决方案,可以极大地规范员工上网行为,有效保护单位信息安全和商业机密。
第三篇:企业网络管理 限制员工上网行为
企业网络管理限制员工上网行为
随着上网行为在工作中的普及,给企业管理带来一个大的问题:在电脑办公和互联网络带来的速度和效率的同时,员工非工作上网现象越来越突出,企网络滥用严重,甚至为企业带来不小的损失。
小草上网行为管理软路由认为很多员工会在办公时间内浏览与工作无关的网站,如娱乐、新闻、IM、游戏、P2P等。有部分员工并不喜欢上网聊天,对网络游戏毫无兴趣等,但是他们还是有“沉溺网络”的问题――这可能是这些员工已在心理上形成对“网络过分依赖”,或是求知上进欲强烈,利用网络寻找一切,或是主要精力用在工作,在人际交往时遇阻碍与困惑想在网络上寻找答案,或是有独处倾向,与“网”为友。这些“网痴”将网络世界当成现实生活,易出现孤独不安、情绪低落、思维迟钝、创造性降低等症状,严重的甚至有自杀意念,这些都是值得企业关注的问题。
员工非工作上网行为、对网络的滥用会给企业带来成本的增加、效益的流失,甚至引来灾难性的后果,造成公司管理效率的下降、订单流失、意外事件的发生,以及对公司团队精神造成的不良影响,如纪律松散、组织效率低下、文化萧条等。影响到整个企业的运营,也可能随之给企业带来严重信息安全隐患,受到病毒、黑客攻击,导致整个企业内部网络瘫痪,甚至导致文件、机密的损坏、丢失和泄露;如果员工在网站发布对企业和领导不利或反动的言论,也有可能把企业拖入法律困境。这些将使企业面临预想不到的重大经济损失和法律风险。
对于现代企业而言,网络无疑是一把棘手的双刃剑。如何改变员工沉迷网络、滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展?
设置专门上网的电脑对于大部分员工工作不需要上网的企业来说,企业可以人性化管理为本,设置若干可以上网的公共电脑,以给有时有要事急需上网的员工使用,同时限定时间。这些电脑应装有防病毒软件,保护整个局域网安全。员工在上网时,最好有网络管理员在旁边监督。
合理安排上网时间企业可制定网络使用作息时间,将上网时段分为上班和下班两个时段,将资源在部分时间开放。在上班时间内,根据不同的部门只开放工作允许的网络资源,在企业关键的网络业务高峰时段,则限制部分员工上网或禁止使用某些网络;下班时间内,给员工1~2小时上网时间,让员工在紧张的工作之余舒缓、调解一下紧绷的神经,保持员工活力。这就需要用到专业的企业网络管理软件,例如国内最优秀的小草上网行为管理软路由能够帮助企业实现上网行为管理、流量控制管理等,有效的限制员工的上网行为,提高工作效率,建立良好的工作上网行为习惯。
第四篇:上网行为管理
1. 上网行为管理
目前市场主流厂商:深信服、网康 典型案例
2.1 提升内网业务操作效率——封堵非业务应用解决方案
方案背景:
日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。
以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。
上网行为管理解决方案——合理封堵非业务网络应用
随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。
方案价值:
1、全方位封堵p2p,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。
有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。
2、选择性内容过滤,方式灵活
除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。
同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。
3、差异化权限划分,构建和谐组织
对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。
2.2上网行为管理+SSL VPN防信息泄露解决方案
背景分析:
据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。
事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。
现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。
解决方案:
通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSL VPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。
产品部署拓扑图如下:
如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。
SSL VPN产品以旁路模式部署,企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。
方案价值:
上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。
上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。
SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。
2.3校园网上网行为管理+SSL VPN综合解决方案
校园网现状:
校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:
1、流量问题
因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。
2、网上言论
目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。
3、网络应用规范问题
不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。
4、校内资源使用问题
学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。
最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。
部署拓扑图:
上网行为管理+SSL VPN综合解决方案:
为此,选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网,让从公网访问校园网内资源成为可能。
1、网络行为审计
将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN 口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。
2、全面流量控制
对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。
3、提高师生网络应用效率
虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。
4、提供网络决策咨询
学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。
5、SSL VPN远程登录校园内网
将SSL VPN 采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。
2.4银行业上网行为管理解决方案
项目背景:
目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
存在问题:
随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。
解决方案:
针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。
功能及解决的问题:
1、内网用户上网权限的细致划分
针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
2.5电力行业上网行为管理解决方案
项目背景:
随着中国经济的进一步发展,整个经济对能源的需求越来越强烈,工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整,绿色电力的概念也逐步深入人心。正是基于这一背景,整个电力行业迎来了发展的黄金时期。
目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题,新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网,具体要求如下:
1.对公司内部员工进行流量控制,限制员工P2P下载,保证网络流量;
2.针对公司员工的上网行为轨迹进行记录,并支持报表分析;
3.对内部聊天软件进行控制,保证员工上班时间的工作效率;
4.对现有网络拓扑状况不进行改动,保证现有网络的稳定性;
解决方案:
采用网桥模式部署深信服上网行为管理设备,即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置,同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署,这种模式主要用于内网用户上网行为日志存储。
部署拓扑如下:
解决的问题:
1、网络应用封堵,提升办公效率
通过电厂网络出口的上网行为管理设备,通过IP/MAC、硬件特征码绑定等技术,对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控,人性化封堵,提升办公效率。
2、流量控制,优化网络带宽
电厂作为传统企业,其网络出口带宽有限,而相应的电力调度系统、OA办公等网络业务系统又较为完备,这必然带来了网络业务运用与网络带宽不足间的矛盾,而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。
针对于此,电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制,流量控制基于业务应用类型、用户组织权限等各种因素,细致全面地构建平稳流量内网。
3、行为日志记录与统计,保证信息安全
电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。
4、宏观网络应用分析,指导IT管控方向
电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等,并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表,如:内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项,为内网管控、进一步建设进行决策。
通过上网行为管理解决方案,增强了网络管控性,提高了电厂的竞争力。
第五篇:上网行为管理软件比较
大连航远科技发展有限公司
航远服务,真诚永铸!
上网行为管理软件比较
·
上网行为管理软件其实就是网络监控软件,只是称呼不同,现在监控软件那么多,经常有人在问监控软件哪种好?看到篇比较系统分析介绍监控软件工作原理的文章,特地转过来。
一、外网监控与内网监控
企业里涉及到两部分的网络管理,一部分是监视上INTERNET的行为和内容,也就是大家说的上网监控或外网监控;另一部分就是如果这个电脑不上 INTERNET但又在内部局域网上(比如打印个文件什么的),一般被大家叫成内网监控或本网监控;上网监控管理的是上网的内容监视和上网行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机
游戏、使用电脑做了什么等等)。
外网监控软件模式基本可以分为两类:有客户端的和没有客户端的(内网安全都需要客户端,上面没有客户端的都不能实现内网安全管理)。
拥有内网管理功能的:信安上网行为管理系统、Anyview网络监控软件、网路岗局域网管理软件、网猫网络监控软件实现需要客户端支持。这几种软件都有专门的客户端软件提供。没有内网管理功能的:百络网警局域网管理、聚生网管系统。
二、有客户端的外网监控:
信安上网行为管理系统和Phantom系统(外网管理和内网管理功能都提供)。不牵涉部署模式,因为他们的实现原理都是在C/S模式,通过部署在被监控计算机上的客户端来实现各种功能,在这种模式下,服务器的安装部署对网路环境就没有特别的要求,网络内随意找一个电脑就可以做服务器,而且功能、网络速度、效率都不受影响,不需要对原有网络架构、环境进行改动。
唯一的缺点就是需要安装客户端。
三、没有客户端的外网监控:
大概分为四种安装模式:旁路、旁听(共享式HUB、端口镜像)、网关、网桥。
1.旁路模式:
基本采用ARP欺骗方式虚拟网关,让其他计算机将数据发送到监控计算机。只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络。
此类软件较多,主要有聚生网管系统、P2P终结者、网络执法官局域网管理软件等。
2.旁听模式:
通过共享式HUB、端口镜像方式来获取网络上的数据实现监控,通过抓取总线MAC层数据侦方式而获得监听数据,并利用网络通讯协议原理发送带RST标记的 IP包封堵TCP连接以破坏TCP连接实现控制的方法;不能封堵UDP通讯包,而QQ、BT等很多软件会使用UDP协议。而且还需要额外购置网络设备,因为共享式HUB中每个端口的但由于HUB基DaLian HangYuan S&T Development Co.,Ltd
上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室
客户经理:孔德清
TEL:0411-39555755-806
FAX:0411-39555755-807 HTTP://www.xiexiebang.com
大连航远科技发展有限公司
航远服务,真诚永铸!
本都是10M的,因此在网络性能上将很大限制,也意味丢包的危险;目前HUB几乎到了淘汰的命运;也不适合大型网络环境,因此是很大局限;网络带宽损失都会超过60%;镜像交换机首先是比较贵并需要专业的配置,而目绝大多数企业并没有带镜像交换机,另外如果规模比较小的话(比如30个电脑一下),那么增加购买镜像交换机意味成本的提高,另外有些便宜的交换机虽然带镜像功能,但在镜像后由于双向(监视和控制)数据流处理不完善而导致交换机瞬间阻塞现象;而很多的镜像交换机也是单向的(只能监视抓包不能控制);但相比老式的HUB模式来说,使用镜像交换机实现监听还是要理想一些;不过即使如此,网络带宽损失也将超过40%;此类软件有超级嗅探狗网络管理软件、LaneCat网猫网络监控软件等。
3.网关模式:
是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),常用的是NAT存储转发的方式;简单说有点像个路由器工作的方式;因此控制力极强,但由于存储转发的方式,性能多少有点损失;不过效率已经比较好了。但维护和安装比较麻烦;无法跨越VLAN和VPN;假如网关死了,全网就瘫痪了。此类软件有 ISA、anyrouter软网关等,这里没有引用,ISA目前在一些银行金融机构仍在使用,海天上网监控软件是专门针对ISA而开发的。
4.网桥模式:
双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失。支持网桥模式的软件比较少,主要有Anyview网络警局域网管理软件、百络网警局域网管理软件、网路岗局域网管理软件。
5.获取数据包的技术
除了模式,我们讲一下获取数据包的技术,目前大概有两种方式: 1)采用操作系统核心NDIS中间层驱动模式,2)公开免费接口WINPCAP协议层驱动。
Anyview网络警局域网管理软件采用NDIS中间层驱动,百络网警说采用的是kercap内核技术(不了解)、网路岗则采用的是WINPCAP技术。
由于WINPCAP本身设计的天生弱点,所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低;也无法实现NAT等更多的扩展功能,由于在协议层运行会被火墙禁止;而NDIS中间层驱动模式由于在NDIS层位置驱动,因此性能效率将非常高,更多功能也将成为可能;能够克服WINPCAP所有的弱点,因此成为主流技术;但实现起来很大难度需要很强的开发实力;
6.结论:
按照部署模式分:通过对比我们可以知道,网桥模式是最理想的一种模式,这种模式唯一的缺点就是额外开支,需要购买一台足够网络处理能力服务器,而且还要连接在交换机和路由器之间的网络上。主要有Anyview网络警、百络网警、网路岗、activewall等。再按照获取数据包的技术分:显然Anyview网络警和activewall采用NDIS中间层驱动技术更好。
四、总结
如果需要内网管理与外网管理都需要,那么所有软件都需要客户端,显然Phantom和信安上网行为管理系统是最好的选择,其次是Anyview网络警局域网管理,因为Anyview网络DaLian HangYuan S&T Development Co.,Ltd
上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室
客户经理:孔德清
TEL:0411-39555755-806
FAX:0411-39555755-807 HTTP://www.xiexiebang.com
大连航远科技发展有限公司
航远服务,真诚永铸!
警需要买一台服务器,部署在交换机和路由器之间。
如果只需要外网监控,那末就需要选择了,Anyview网络警这时不需要部署客户端,但需要买一台服务器,部署在交换机和路由器之间。而信安上网行为管理系统和Phantom则可以任选一台电脑做服务器;缺点是要安装客户端。
五、Winpcap的主要缺陷如下:
1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效; 2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%; 3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能; 4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多 VLAN或VPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;
5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;
六、Arp欺骗:
欺骗局域网内计算机,使其他计算机误认为监控计算机为网关计算机,将所有数据发送到监控计算机)只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络。
DaLian HangYuan S&T Development Co.,Ltd
上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室
客户经理:孔德清
TEL:0411-39555755-806
FAX:0411-39555755-807 HTTP://www.xiexiebang.com